Passer au contenu principal
Quitter

Bienvenue dans l’univers Dell

Mon compte
  • Passer des commandes rapidement et facilement
  • Afficher les commandes et suivre l’état de votre expédition
  • Créez et accédez à une liste de vos produits
  • Gérer vos sites, vos produits et vos contacts au niveau des produits Dell EMC à l’aide de la rubrique Gestion des informations de l’entreprise.
Se connecter Créer un compte Connexion au compte Premier Connexion au programme de partenariat

Numéro d’article: 000175263

如何使用实时响应功能收集 VMware Carbon Black Endpoint 传感器日志

Résumé: 可以按照这些说明使用实时响应功能远程收集 VMware Carbon Black Endpoint 传感器日志。

Cet article a peut-être été traduit automatiquement. Si vous avez des commentaires concernant sa qualité, veuillez nous en informer en utilisant le formulaire au bas de cette page.

Contenu de l’article

Symptômes

如何使用 VMware Carbon Black Cloud Console 中的 Live Response 功能远程收集 VMware Carbon Black Endpoint 和 Carbon Black Defense 日志。

受影响的产品:

  • VMware Carbon Black Endpoint

受影响的版本:

  • v3.4 及更高版本

受影响的操作系统:

  • Windows

Cause

不适用

Résolution

VMware Carbon Black Cloud 的实时响应功能是一种从 Microsoft Windows 端点远程收集传感器日志的方法,可为故障处理提供支持。

确保为端点启用实时响应策略。默认设置为已禁用。

要使用 Live Response 收集日志,管理员必须先 启用策略运行实时响应,然后 再下载日志。单击相应的操作以了解更多信息。

提醒:本文重点介绍如何使用实时响应功能收集日志。有关如何为所有操作系统手动收集日志的更多信息,请参阅如何收集 VMware Carbon Black Cloud Endpoint 传感器的日志(英文版)。

启用策略

要验证策略是否已启用,请执行以下操作:

  1. 在网页浏览器中,转至 [REGION].conferdeploy.net。
提醒:[REGION] = 租户的区域
  1. 登录到 VMware Carbon Black Cloud。

VMware Carbon Black Cloud 登录

  1. 在左侧菜单窗格中,单击 Enforce

强制执行

  1. 单击 Policies

策略

  1. 选择某个策略。

策略选择

  1. 单击 Sensor 选项卡,并验证 Enable Live Response 是否已选中。

启用实时响应功能

运行实时响应

运行实时响应功能的效果会因 VMware Carbon Black Cloud Endpoint Sensor 的版本而异。单击相应的版本以了解更多信息。

提醒:有关确定版本的更多信息,请参阅如何确定 VMware Carbon Black Cloud Endpoint Sensor 的版本(英文版)。

要将 Live Response 与版本 3.6 及更高版本配合使用,请执行以下操作:

  1. 在左侧菜单窗格中,单击 Endpoints

端点

  1. 在“All Sensors”用户界面 (UI) 中:
    1. 找到相应的设备名称
    2. 单击 Actions 下的下拉框。
    3. 单击 Live Response

“All Sensors”用户界面

  1. Live Response 功能连接后,键入 cd c:\program files\confer,然后按 Enter 键。

更改 Live Response 中的目录

  1. 键入 execfg cmd /c repcli capture “[PATH]”,然后按 Enter 键。这将运行 RepCLI 实用程序以捕获日志记录。

捕获 Live Response 中的日志记录

提醒:[PATH] = 日志目标文件夹的绝对路径

捕获完成后,提示符指示捕获的日志被放置在具有文件名的指定目标文件夹中 psc_sensor.zip

提醒:这可能需要几分钟时间,具体取决于捕获日志的端点和接收文件的设备的网络带宽。

要将 Live Response 与版本 3.4 到 3.5 配合使用,请执行以下操作:

  1. 在左侧菜单窗格中,单击 Endpoints

端点

  1. 在 All Esensors 用户界面 (UI) 中:
    1. 找到相应的设备名称
    2. 单击 Actions 下的下拉框。
    3. 单击 Live Response

“All Sensors”用户界面

  1. Live Response 功能连接后,键入 cd c:\program files\confer,然后按 Enter 键。

更改 Live Response 中的目录

  1. 键入 execfg repcli capture,然后按 Enter 键。这将运行 RepCLI 实用程序以捕获日志记录。

捕获 Live Response 中的日志记录

捕获完成后,会出现提示,指示捕获的日志被放置在 C:\Windows\Temp\cb-temp 中,文件名为 psc_sensor.zip

提醒:这可能需要几分钟时间,具体取决于捕获日志的端点和接收文件的设备的网络带宽。

下载日志

要下载日志,请执行以下操作:

  1. 键入 cd C:\Windows\Temp\cb-temp,然后按 Enter 键。
提醒:如果仅需要 confer.log,则可以通过浏览至 C:\Program Files\Confer、键入 get confer.log,然后按 Enter 键进行直接收集。
  1. 键入 get psc_sensor.zip,然后按 Enter 键。

使用实时响应功能获取文件

  1. 文件将下载到您的本地计算机,并使用字母数字文件名。将文件重命名以添加 .zip 扩展名。
提醒:
  • 字母数字文件名示例:36355d97-18f4-416e-be8f-473bda7c30fb
  • 重命名的文件名示例:SensorCapture.zip

要联系支持部门,请参阅 Dell Data Security 国际支持电话号码
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛

Informations supplémentaires

 

Vidéos

 

Propriétés de l’article

Produit concerné

VMware Carbon Black

Dernière date de publication

03 Feb 2023

Version

18

Type d’article

Solution

Haut de la page